Skydda personuppgifter och rapportera vid incidenter – så hjälper GDPR-hubben dig

Robert Veberg Blogg, GDPR, Säkerhet och Efterlevnad

Majoriteten av alla företag har nu skrivit en uppdaterad och GDPR-anpassad integritetspolicy, men på frågan hur man i praktiken gör för att skydda data, hur man agerar vid en personuppgiftsincident eller förfrågan om registerutdrag står många fortfarande handfallna. Vi har kommit fram till den tredje och sista delen av vår artikelserie om GDPR Hubben och hur den kan hjälpa dig i arbetet med de fyra nyckelområdena inom GDPR. I denna artikel ger vi exempel på hur du kan använda hubben för att skydda dina personuppgifter och rapportera vid eventuell incident eller personuppgiftesförfrågan.

Intrångsskydd, privacy by design och kryptering

När det gäller skydd av data tänker nog de flesta på säkra lösenord, brandväggar och antivirus samt hur du på annat sätt ska skydda dig mot olika typer av attacker såsom ransomeware, phishing och så vidare. Här bistår naturligtvis hubben med matnyttiga rekommendationer för hur du ska skydda din Microsoft 365-miljö på bästa sätt, men det huvudsakliga arbetet handlar mer om system som är motståndskraftiga i grunden.

En av grundstenarna i GDPR är nämligen att systemen som din verksamhet arbetar i redan från början bör vara uppbyggda så att de motsvarar de krav som GDPR ställer – det som kallas privacy by design. Det är i mer konkreta termer en fråga om att säkerheten bör motsvara den standard som kan förväntas idag vilket bland annat innebär att vissa data måste krypteras – exempelvis då du skickar mail. Här kan GDPR Hubben vägleda och ge förslag på inställningar för kryptering; var du gör ändringarna, hur du gör dem och varför du bör göra dem.

Mail, dokument och filer ska inte bara skyddas då de skickas via mail – det måste även finnas ett adekvat skydd av personuppgifter där de lagras. Det är därför viktigt att åtkomstkontroll och kryptering av exempelvis hårddiskar och andra lagringspunkter ställs in på rätt sätt för att skydda de personuppgifter som hanteras i ditt företag . Något som GDPR Hubben även erbjuder tydliga instruktioner kring.

Skydda personuppgifter med central enhetshantering och granskningsvarningar

I takt med att mängden mobilteknologi i arbetslivet ökar, i kombination med att den privata och arbetsrelaterade sfären i allt höge grad smälter samman uppstår helt nya utmaningar ifråga om att skydda verksamhetens informationstillgångar. Eftersom de olika enheterna som du använder i arbetet – din dator, padda eller smartphone – även innehåller personuppgifter måste det finnas möjlighet att skapa kontroll över och begränsa vilka enheter som har tillgång till uppgifterna. Du måste även kunna spåra dataåtkomst vid eventuellt intrång. Därför innehåller även din compliance manager material som hjälper dig att skapa en effektiv och central enhetshantering i Microsoft 365.

Om data har försvunnit måste du kunna säkerställa hur den försvann och vem som haft tillgång till den. Om en anställd exempelvis försöker distribuera data ut ur organisationen kan du få varningar om sådan aktivitet. Granskningsvarningar läser av avvikande mönster i användarnas beteende – om exempelvis stora mängder mail vidarebefordras till privata adresser eller liknande.

I GDPR Hubben finns det alltså rekommendationer för hur du ska skydda personuppgifter i din Microsoft 365-miljö med inställningar och annat stödmaterial. I takt med att Microsofts lösningar utvecklas får du även information om uppdaterade verktyg och funktioner som du notifieras om i hubben.

Rapportering kräver rätt tekniska förutsättningar

Att rapportera handlar om att kunna leverera rapporter till de individer som begär utdrag om vilka uppgifter du har lagrade om denne, men också om att kunna rapportera en eventuell incident och att spara den information som krävs för att rapporteringen ska vara fullständig. Ett grundkrav är naturligtvis att den data du har är sökbar. Du behöver också på ett enkelt sätt kunna leverera rapporter vilket kräver tekniska förutsättningar och know-how om hur tekniken används för att kunna framställa dem på ett effektivt och korrekt sätt. GDPR Hubben bistår med såväl rekommendationer som system för att hantera eventuella förfrågningar. Du får även underlag för rutiner omkring rapporteringen.

Du måste även effektivt kunna hantera en incident och lämna en fullgod rapport om vad som föranledde den. Här är det kritiskt att du kan använda granskningsloggar för att kunna redogöra för vad som faktiskt har hänt – inte bara att något har hänt. Annars måste man alltid förutsätta att alla filer som det funnits åtkomst till har blivit komprometterade. Genom dessa loggar kan du begränsa omfattningen av rapporteringen om den potentiella skada som intrånget orsakade, genom att påvisa exakt vilka filer som spridits vidare, exempelvis.

Rutiner är bara till nytta om de följs

Något som är viktigt att nämna i sammanhanget är att det givetvis krävs ett stort internt arbete för att dessa rutiner ska sätta sig. Annars har du bara dokumentation som ser bra ut på pappret. Majoriteten av företag har skrivit en uppdaterad och GDPR-anpassad integritetspolicy, men på frågan hur man i praktiken gör vid en incident eller förfrågan står många fortfarande handfallna.

Att ha rutinerna på plats och de tekniska redskap som behövs för att realisera dem innebär att du både förenklar och i viss mån kan automatisera många processer. De rekommendationer som GDPR Hubben ger beträffande rutiner, inställningar och funktioner i din Microsoft 365-miljö underlättar arbetet med att konkretisera din handlingsplan och faktiskt efterleva den. Du får tydliga riktlinjer för vilka regler som gäller – 72-timmarsregeln vid intrång exempelvis, eller 30-dagarsregeln för personuppgiftsförfrågningar.

I arbetet med att skydda personuppgifter och rapportera i enlighet med det nya dataskyddsdirektivet har du huvudsakligen hjälp av GDPR Hubben genom dess compliance manager och det stödmaterial med rekommendationer som kan hjälpa dig att göra rätt inställningar i din Microsoft 365-miljö. Det är med andra ord inte hubben som gör jobbet åt dig, men den kan vägleda och förenkla för dig på resan mot efterlevnad av det nya dataskyddsdirektivet.

Vill du veta mer om hur vi på WeSafe kan hjälpa dig att även praktiskt efterleva GDPR? Hör av dig till oss!

Share this Post




Image
Image
Läs fler bloggposter
Skrivet av

Robert Veberg

Konsultansvarig, 040-626 75 81, robertveberg@wesafe.se, LinkedIn


Kontakta oss Läs våra kundcase